工控系统安全是关系国家安全的重大战略问题,随着自主保障、信息安全问题逐渐暴露,工控系统的核心中枢——PLC 系统的自主研发与推广应用刻不容缓。
可编程逻辑控制器(PLC)是应用于工业环境中的数字运算操作电子装置,通过数字或模拟的输入输出来控制各种类型的机械设备或生产过程。PLC 是生产制造系统、重大基础设施和军用装备的通用基础核心控制设备,在电力、石化、制造、市政等领域及航天发射场、舰船、装甲车辆等军用装备中广泛应用,是控制系统信息域与物理域的重要交叉节点。然而,目前国内使用的PLC 几乎全部来自国外厂商,核心技术严重受制于人,存在特殊时期禁运和断货、核心芯片和操作系统隐埋“后门”和“恶意逻辑”等隐患,对我国产业安全和网络安全带来诸多风险。
PLC 控制系统主要由控制器、逻辑组态软件及监控组态软件组成,通过逻辑运算、顺序控制、状态推演、定时、计数等功能,实现对各类机械电子装置的控制。在典型控制系统架构中,可编程控制系统作为控制中枢,与现场设备层的传感器和执行器等互联构成控制回路。
PLC 控制系统一般可划分为监控层、控制层、设备层三层结构,见图1,其中监控层主要包含逻辑组态软件、监控组态软件,控制层主要包含控制器模块、I/O 功能模块等PLC 硬件,设备层主要包含传感器、执行器等现场设备。逻辑组态软件是运行在上位机的集成开发环境,实现PLC 的配置、控制逻辑编译,编译形成可执行文件下装到控制器或仿真器,实现调试、监控、在线诊断、在线修改变量和离线仿真等功能。监控组态软件是数据采集与过程控制的专用开发环境,为操作人员提供了一种灵活组态方式,从而实现控制系统监控功能,包括上层监控画面的组态、实时监视、历史数据查询、指令操作等。控制器模块由模块硬件、嵌入式操作系统及运行控制软件组成,整体构成基础平台,实现与组态软件和现场总线的交互,运行用户程序,完成现场控制功能。数字量和模拟量输入输出模块针对不同的物理信号转换需求,通过各类模块自由搭配,可适应不同控制需求。
图1 PLC 控制系统组成
目前,世界上有PLC 企业200 多家,PLC 产品按地域可分成三个流派——美国、欧洲、日本。美国是PLC 生产大国,有100 多家PLC 企业,其中著名的有Rockwell、GE、Emerson 等;欧洲的主要知名厂商有德国Siemens、法国Schneider、瑞士ABB;日本的小型PLC 具有较高的性价比,占有较高的市场份额主要有三菱、欧姆龙、富士机电、恩基士等。除此之外,还有韩国的LS,中国台湾的台达、永宏等企业也生产PLC 产品。
随着两化深度融合、中国制造2025 及工业互联网等高新技术的发展,我国每年PLC 需求量不断攀升,2017 年PLC 市场规模超过100 亿元,同比增长24.5%,然后,95% 的PLC 市场被国外品牌所占领,其中Siemens、三菱、欧姆龙分别以41.8%、10.4% 和10.1% 的市场份额排名前三位,见图2。特别是一些大型控制系统,几乎全部选用进口PLC 产品,如我国的某些核电系统采用美国Rockwell 的PLC 产品,三峡启闭机采用德国Siemens 的PLC 产品,某些航天发射系统选用美国GE 的产品。在国家重大基础设施和国防军工系统中大量使用国外进口产品,产品长期依赖国外,无法实现自主保障,不但在技术方面受制于人,而且在安全方面还缺乏相应的信息安全防护设计,面临较大的安全风险。
图2 中国PLC 市场主要供应商份额
自主保障问题:现役控制系统主要选用Windows+Intel 平台计算机和西门子PLC 产品搭建。1)国外对应用于特殊环境的计算机平台、PLC 控制器和驱动器等产品实行严格技术管控,目前仅能购买工业级产品,并且在特殊时期面临禁运和断货的风险。2)由于PLC 在控制系统(如石油石化系统)中服役周期普遍较长,在较长服役期内,控制系统的技术服务、例行维护和维修升级严重依赖国外支持,因此相应服务会因产品更新换代和技术升级等原因面临较大风险。
信息安全问题:长期以来,控制系统设计只注重功能实现,缺乏相应信息安全防护设计,现役控制系统已暴露大量信息安全隐患,这些隐患问题一旦被利用,可直接造成设备停机、进入故障模式、自动重启、程序崩溃、破坏数据区等严重危害。国外产品存在的“漏洞”无法及时补救,仅能依赖国外厂家升级或发布修补程序,爆出的西门子PLC 多个DoS 高危漏洞仍在等待厂家提供补救措施,如震惊全球的“伊核事故”就是由于西门子S7-400 型PLC 控制系统的漏洞受到“震网”病毒攻击而引发。国外产品存在“后门”等风险,当前国际主流的PLC 控制系统极易遭受全球同步流行和更新速度快的多变种病毒入侵。
2016 年4 月19 日,习近平在网络安全和信息化工作座谈会的讲话中指出,如果核心元器件严重依赖外国,供应链的“命门”掌握在别人手里,那就好比在别人的墙基上砌房子,再大再漂亮也可能经不起风雨,甚至会不堪一击。2016 年10 月,习近平在十八届中央政治局第三十六次集体学习时讲话:要紧紧牵住核心技术自主创新这个“牛鼻子”,抓紧突破网络发展的前沿技术和具有国际竞争力的关键核心技术,加快推进国产自主可控替代计划,构建安全可控的信息技术体系。2018 年4 月,习近平总书记在全国网络安全和信息化工作会议上发表重要讲话:没有网络安全就没有国家安全。2017 年6 月,PLC 作为网络关键设备被纳入工信部等四部委联合制定的《网络关键设备和网络安全专用产品目录(第一批)》,从而加强对PLC 产品的安全管理。
近年来,随着国际贸易摩擦的加剧、国家自主创新战略的推进及国内PLC 市场规模的迅猛发展,国内一些企业采用自主创新的思路,研发了安全可靠的系列PLC 产品,并逐步进入该领域。
为解决关键共性技术和核心部件受制于人的突出问题,同时避免芯片、程序等后门、逻辑炸弹等隐患,PLC 的自主创新需求首先是打破国外厂家PLC 的垄断,其次是采用国内自主研发的芯片、嵌入式系统、编程组态软件、计算机平台等关键部件研制自主PLC 产品,从而从芯片、固件、数据库、中间件、操作系统、应用软件等多个层级形成PLC控制系统完全自主可控的生态链,满足我国重点领域核心装备和基础设施中各类控制系统的应用需求,提升我国关键信息基础设施控制系统的自主可控水平和安全保障能力。
由于工业控制系统的使用环境较为封闭,因此使用中往往更注重功能的实现,而对安全的关注相对缺乏。可信计算是为信息系统构建安全可信的计算环境,提升系统的免疫力的一种信息技术,适用于数据、操作等具有较高确定性的应用场景。PLC 控制系统和可信计算相结合将是未来PLC 信息安全防护技术的发展趋势。如针对PLC 控制系统网络化的边界安全问题,可基于控制系统环境的可信状态、连接者身份确认并结合工控系统中通信方式,进行可信判定处理,根据可信连接方法、可信状态评估模型,可以解决工控系统中网络安全访问问题。安全可信PLC 可提供更强的诊断与故障处理能力,具有较高的安全性。采用安全可信系统架构可以确保体系结构可信、资源配置可信、操作行为可信、数据存储可信和策略管理可信,从而达到积极主动防御的目的。